Компьютерные преступления

3. Корректно выключить  питание всех ЭВМ,  находящихся на  объекте (в помещении).

4. Не пытаться на  месте просматривать  информацию, содержащуюся  в компьютерах.

5. В затруднительных  случаях не обращаться  за консультацией  (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.

6. Следует изъять  все ЭВМ, обнаруженные  на объекте.

7. При обыске не  подносить ближе,  чем на 1 м к  компьютерной технике  металлоискатели  и другие источники  магнитного поля, в т. ч. сильные осветительные приборы и некоторую спецаппаратуру.

8. Поскольку многие, особенно неквалифицированные,  пользователи записывают  процедуру входа-выхода, работы с компьютерной  системой, а также  пароли доступа  на отдельных бумажных  листках, следует  изъять также все записи, относящиеся к работе с ЭВМ.

9. Так как многие  коммерческие и  государственные  структуры прибегают  к услугам нештатных  и временно работающих  специалистов по  обслуживанию средств  компьютерной техники,  следует записать  паспортные данные  у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.

    При изъятии средств компьютерной техники  необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального  законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и “наводок”, направленных излучений.

    В случае, когда необходимо сослаться  непосредственно на определенный физический носитель, следует указать в протоколе  его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.

    В случае невозможности изъятия и  приобщения к делу в качестве вещественного  доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.

    Если  же возникла необходимость изъятия  информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего  устройства - ОЗУ), то сделать это  возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами; Государственный стандарт (ГОСТ) № 6104-84 от 01.07.87 «УСД». Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники.

    Основные  положения и Постановление Госстандарта № 2781 от 24.09.86 “Методические указания по внедрению и применению ГОСТ 6104-84”. Только с использованием указанных нормативных документов машинная информация будет относиться к разряду “документированной информации”, как требует того закон.

    К сожалению, пятилетняя практика работы автора в органах прокуратуры показывает, что вышеуказанные рекомендации в большинстве случаев следователями не применяются в практической деятельности по расследованию преступлений. В результате неправильного изъятия средств компьютерной техники добытая информация зачастую не может являться доказательством в судебном процессе. Однако хочется привести и пример грамотных действий группы следователей прокуратуры Курганской области в которой принимал непосредственное участие и автор данной работы.

    В 1996 г. прокуратурой Курганской области было возбуждено уголовное дело в отношении ряда должностных лиц ГИБДД УВД Курганской области по факту неоднократного получения взяток за изготовление поддельных документов на автомобили и внесении заведомо ложной информации в компьютерную базу данных.

    Материалами дела было установлено, что в конце  января 1996 года по предложению работника  ГИБДД УВД Курганской области  В., Ю., работая инженером подотдела  ГИБДД и, являясь должностным  лицом, на своем рабочем месте, используя  компьютер и лазерный принтер, изготовил заведомо поддельную таможенную декларацию на автомобиль "Вольво-360", за что получил от В. в качестве взятки 500 тысяч рублей.

    Также, в начале февраля 1996 года Ю. по предложению  В. на своем рабочем месте, используя  компьютер и лазерный принтер, заполнил бланк свидетельства о регистрации автомобиля "Вольво-445", внеся в него заведомо ложные сведения о регистрации указанного автомобиля в РЭО ГИБДД УВД г.Кургана В то же время Ю., используя свое служебное положение, внес в компьютерную базу данных РЭО ГИБДД УВД г.Кургана заведомо ложные сведения о регистрации автомобиля "Вольво-445" на имя Д. За это Ю. получил от В. в качестве взятки 500 тысяч рублей.

Своими действиями Ю. совершил преступление, предусмотренное  ст.173 ч.2 УК РСФСР, т.е. - получение взятки должностным лицом неоднократно за выполнение действий в интересах дающего взятку с использованием своего служебного положения.

    Кроме того, Ю., изготовив в январе - марте 1996 г. по предложению В. на своем рабочем  месте с использованием компьютера и лазерного принтера заведомо поддельную таможенную декларацию на автомобиль "Вольво-360", два бланка доверенностей нотариуса Люберецкой государственной нотариальной конторы Московской области С., и внеся заведомо ложные сведения о регистрации автомобиля "Вольво-445" в бланк свидетельства о регистрации и в компьютерную базу данных РЭО ГИБДД УВД г.Кургана, совершил преступление, предусмотренное ст.175 УК РСФСР - должностной подлог.

    При проведении первоначальных следственных действий был произведен обыск в рабочем помещении РЭО ГИБДД, при котором в соответствии с требованиями закона изъяты используемые в работе средства вычислительной техники. После доставления этих компьютеров в помещение областной прокуратуры вся база данных в присутствии понятых была переписана на съемные носители информации. В дальнейшем при производстве сверки с другими базами данных, имеющимися в ИЦ УВД области, архивными документами, данными таможенной службы были выявлены множественные несоответствия. Выяснилось, что обвиняемыми сотрудниками РЭО ГИБДД путем внесения заведомо ложной информации в компьютерную базу данных и выдачи поддельных техпаспортов, таможенных деклараций, были незаконно зарегистрированы десятки автомашин импортного производства без уплаты соответствующих таможенных пошлин и платежей. Данное уголовное дело в начале 1997г. было рассмотрено Курганским областным судом с вынесением обвинительного приговора. Все подсудимые были приговорены к длительным срокам лишения свободы.

    Однако  большинство уголовных дел по компьютерным преступлениям в России остаются нераскрытыми. И дело здесь даже не в том, что наши сыщики плохо работают или, что российские компании экономят на защите своих компьютерных сетей. К сожалению, при высоком техническом оснащении и тщательной подготовке преступления, поймать компьютерного вора очень сложно. Ведь компьютерные сигналы легко перебрасываются через спутник и могут поступать в тот же Центробанк хоть из Зимбабве, хоть с Берега Слоновой Кости. Похищенные деньги прокручиваются через несколько банков, и если их след все же обнаруживается, конечный получатель только пожимает плечами - мол, сам удивляюсь, откуда они взялись.

    На  нынешний день возбуждено около 20 уголовных  дел по "компьютерным преступлениям", - сказал в интервью газете “Труд” оперуполномоченный по особо важным делам Главного управления по экономическим преступлениям МВД РФ Игорь Никитенко. - Но я не уверен, что все они будут доведены до суда. Дела разваливаются, так как выявить личность конкретного преступника порой просто невозможно”.

    Вот лишь два примера:

- Уголовное дело  номер 113063. Неизвестные  лица проникли  в компьютерную  сеть Центрального  банка и ввели  программу о переводе  более 68 миллиардов  рублей на другие  счета. Произошло  это в 1993 году. Преступники так  и не найдены.

- Уголовное дело номер 112288. В начале 1995 года злоумышленники через компьютерную сеть одного из московских банков фиктивно ввели на его счет 2 миллиарда рублей, попытавшись потом перевести эту сумму на другие счета. Попытка преступления была предотвращена. Но уголовное дело в настоящий момент приостановлено "за неустановлением виновных лиц"...

    Уверен, что при тотальной криминализации нашего общества "компьютерная преступность" не стала еще в России национальным бедствием лишь из-за не менее тотальной  технической отсталости.

    Приведу лишь один известный мне пример осуждения  преступника по статьям 272 и 273 УК РФ.

    19 декабря 1997 г. в Южно-Сахалинском  городском суде завершилось слушание  дела по обвинению Гоярчука  Сергея в совершении противоправных  действий, квалифицировавшихся по статье 30 "Подготовка к преступлению и покушение на преступление", статье 272. "Неправомерный доступ к компьютерной информации" и статье 273. "Создание, использование и распространение вредоносных программ для ЭВМ" УК РФ.

    Гоярчук С.А. являлся техническим специалистом двух организаций, заключивших договора на услуги электронной почты и сети "Интернет". В связи с этим он имел доступ к нескольким компьютерам, как в помещениях организаций, так и у себя дома, т.к. одна из организаций передала ему один из компьютеров для ремонта кнопки питания.

    При заключении договоров и в дальнейшем Гоярчук С.А. проявлял большой интерес  к особенностям работы электронной  почты, возможностям доступа к ней  через различные сети передачи данных и сценариям работы с почтой в каждом из случаев.

    В мае 1997 г. Гоярчук С.А., первоначально  вручную, а в последствии используя  скрипт к терминальной программе <TELEX>, пытался подобрать пароли к адресам  пользователей электронной почты. Все попытки осуществлялись через  номер общего пользования сети Х.25 <Спринт> в г.Южно-Сахалинске. В результате Гоярчуку удалось подобрать пароли к адресам некоторых абонентов. Подбор проводился либо в выходные и праздничные дни, либо в ночное время.

    В ночь с 14 на 15 мая и в ночь с 15 на 16 мая техническим персоналом ТТС и ГТС Южно-Сахалинска были проведены мероприятия по определению телефонного номера, с которого работал правонарушитель.

    В ходе дальнейших оперативных проверок было выяснено, что это номер соседней квартиры, с хозяевами которой  Гоярчук якобы договорился об использовании номера в ночное время.

    Hаблюдения  за действиями Гоярчука продолжались  до момента, пока он не разослал  от имени ТТС некоторым пользователям  электронной почты письма с  просьбой сообщить все свои  реквизиты, в том числе и  учетные имена сети <Интернет> с паролями.

    Письмо  было разослано с электронного адреса SAKHMAIL@CHAT.RU, который был зарегистрирован  на сервере CHAT.RU. Найти владельцев этого  сервера в Москве, для того чтобы  определить IP адреса, с которых выполнялось  соединение, представителям ФСБ, которые вели следствие не удалось.

    6 июня 1997г. было проведено задержание  Гоярчука С.А. у него на квартире, в ходе которого было изъято  два компьютера и около 40 дискет. В ходе исследования компьютеров  на личном компьютере Гоярчука была найдена программа-скрипт SM_CRACK, электронные письма, адресованные одному из Южно-Сахалинских банков и коммерческой фирме, файл, содержащий текст письма, разосланного абонентам от имени ТТС.